SmokeLoader 악성코드: 무기화된 7z 압축파일을 활용한 정보탈취기(Infostealer) 유포 캠페인 분석

SmokeLoader Malware Uses Weaponized 7z Archives to Deliver Infostealers

SmokeLoader Malware Uses Weaponized 7z Archives to Deliver Infostealers

 

• 공격 개요
  • 우크라이나 제1국제은행(PUMB)을 표적으로 한 악성코드 유포 캠페인 발생
  • Emmenhtal이라는 스텔스형 악성 로더를 SmokeLoader와 연계해 사용
  • CryptBot, Lumma Stealer 등 정보탈취형 악성코드(Infostealer) 유포 목적
• 감염 단계 및 유포 방식
  • 악성 7z 압축파일 (“Платiжна_iнструкция.7z”, “결제 지시서”로 번역됨) 을 포함한 이메일을 통해 감염 시도
    • 내부 구성: PDF 미끼 문서, URL 바로가기 파일
    • 사용자를 유인하기 위한 사회공학적 기법 활용
  • URL 바로가기 실행 시 원격 서버에서 악성 LNK 파일 다운로드
  • PowerShell을 통해 난독화된 명령어 실행
  • Mshta(Microsoft HTML Application) 사용하여 HTA 스크립트 실행 → LOLBAS (Living Off the Land Binaries and Scripts) 기법 활용
  • 감염 후 흔적을 남기지 않도록 파일리스(Fileless) 방식으로 진행
• Emmenhtal 로더의 특성
  • 정상 윈도우 파일(DCCW.exe)을 변조해 악성 자바스크립트 삽입
  • 스크립트가 추가 페이로드를 디코딩 및 실행
  • 난독화 및 분석 회피(anti-analysis) 기술 탑재
• SmokeLoader 악성코드의 모듈형 구조
  • 특징
    • 추가 악성코드 다운로드 및 실행
    • 브라우저와 시스템 메모리에서 자격 증명 탈취
    • C2 서버 명령 실행
    • 프로세스 인젝션, 디버깅 방지 등 탐지 회피 기법 활용
  • 분석 결과
    • .NET Reactor로 난독화 및 패킹 처리
    • QEMU, VirtualBox 등 가상환경 탐지 기능을 통해 샌드박스 회피
• 공격 전술 및 MITRE ATT&CK 매핑
  • PowerShell 스크립트 실행 (T1059.001)
  • Mshta를 통한 실행 (T1218.005)
  • LOLBAS 기반의 정당한 시스템 유틸리티 악용
  • 가상화 환경 감지, 분석 회피, 다단계 페이로드 로딩 기법 조합
• 보안 권고
  • EDR (Endpoint Detection & Response) 솔루션 도입 및 정책 강화
  • 이메일 첨부파일 필터링 및 URL 접근 제어
  • PowerShell, HTA 파일 실행 모니터링 및 차단 정책 설정
  • MITRE ATT&CK 기반 탐지 정책 확대
  • Zero Trust 보안 아키텍처 채택 및 사용자 교육 강화
• 결론
  • 기존의 전통적인 악성코드 유포 수법을 벗어나 다단계 및 LOLBAS 기법을 결합한 고도화된 위협
  • 압축파일(7z)을 활용한 우회 기법이 여전히 주요 공격 벡터로 활용됨
  • 모듈형 악성코드와 로더의 결합은 탐지 회피 및 유연한 페이로드 배포를 가능하게 함
  • 사전 탐지 및 다계층 방어 체계 구축이 필수적임